Перейти к содержимому


G_D

Регистрация: 10 июл 2018
Offline Активность: июл 10 2018 08:46
-----

Мои темы

Как проверить подлинность скачиваемого ПО (например, кошельков) в Windows

10 июля 2018 - 08:47

Нам понадобится пакет программ Gpg4win https://www.gpg4win....et-gpg4win.html.
Устанавливаем с правами администратора.
После установки запускаем приложение Kleopatra.
110917-4e3740e6b6cfbacb4488b0bb64c5aa38.

Качаем, например, кошелек electrum http://electrum.org/#download. Качаем не только исполняемый файл, но и подпись (signature). Подпись качается правым кликом и "Сохранить ссылку как..." Я взял вариант "Windows Installer".
110921-73a0829a49874ab1312c27e9bc54ee10.
На выходе получаем два файла:
electrum-3.3.6-setup.exe
electrum-3.3.6-setup.exe.asc

Переходим в Kleopatra, нажимаем кнопку "Расшифровать и проверить...", выбираем файл подписи electrum-3.3.6-setup.exe.asc, получаем такую бяку:
110922-2de3f08e164e01eeb56cf9745a85e5b3.

Нажимаем кнопку "Искать" и находим сертификат:
110923-1022516f70cd68538c067c635ff1055f.

Выбираем сертификат и нажимаем кнопку "Подробности..."
110925-968784c7df40e451dcb2510cf2480fd8.

Из информации выше мы видим, что файл electrum-3.3.6-setup.exe подписан ключом, созданным 15 июня 2011 года и его отпечаток 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6. Это означает, что разработчик в 2011 году создал ключ и до сих пор подписывает им распространяемые файлы. Далее идем в гугл и делаем запрос отпечатка:
110927-2eba6c086fc8dd83d7a89b61536ced48.

Из результатов поиска видно, что этот отпечаток ключа упоминается в интернете в разные годы в том числе на ресурсах, которым вполне можно доверять, например тут:
http://docs.electrum.../gpg-check.html (официальная документация electrum);
в reddit Bitcoin:

 

десятки раз на bitcointalk и т.д.

Так как мы не можем, например, позвонить ThomasV или получить от него открытку с отпечатком ключа, придется довериться интернетам

Нажимаем кнопку "Импорт", появится окно с предложением добавить сертификат в действительные:
110924-dd44e1b658b777d616eac738dced52eb.

Приложение попросит создать свой сертификат OpenPGP, соглашаемся, далее просто вводим любое имя, далее пароль, появится такое окно:
110928-7fae281ce5654d4f6d599b25bb75d782.
Выбираем все три идентификатора и ставим галку "Я подтверждаю, что контрольная сумма верна" (именно ее мы выше искали гуглом в различных источниках).

В следующем окне просто нажмите "завершить", вводите пароль.

110929-3099d857a4627dcb5c82be64095737bb.

Таким образом мы удостоверились в двух вещах:
1) В том, что файл electrum-3.3.6-setup.exe действительно подписан ThomasV 16 мая 2019 года с использованием сертификата выпущенного в 2011 году.
2) В том, что файл дошел до нас от автора в неизменном виде.

зы простите, если я запутался в терминах, может кто поправит или дополнит))